5.風險評估途徑

1)基線評估( Baseline Risk Assessment，BRA)：

安全基線是諸多標準規范中規定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環境下的所有系統，可以滿足基本的安全需求，使系統能達到一定的安全防護水平。

可選的安全基線包括：國際標準和國家標準，例如BS2'7001、信息安全等級保護；行業標準或推薦，例如德國聯邦安全局IT基線保護手冊；來自其他有類似商務目標和規模的組織的慣例等。

適用范圍：組織的商業運作不是很復雜，對信息處理和網絡的依賴性不是很高，或者組織信息系統多采用普遍且標準化的模式。

評估策略：根據組織實際的情況，對信息系統進行基線檢查（用現有的安全措施與安全基線規定的措施進行比較，找出差距），得出基本的安全需求。通過選擇并實施標準的安全措施來消減風險和控制風險。

2)詳細評估

對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。即識別資產的風險并將風險降到可接受的水平，以此證明管理者所采用的安全措施是恰當的。

3)組合評估：

采用基于基線評估與詳細評估兩者之間的評估方式。

方法：組織應先對所有系統進行一次初步的高級風險評估。著眼與信息系統的商務價值和可禽邑面臨的風險，識別出組織內具有高風險或對其商務運作極為關鍵的信息資產（或系統），這些資產或系統應劃分在詳細風險評估的范圍√而其他系統則可以通過基線風險評估直接選擇安全措施。